Violación de normas de protección de datos personales por parte de una empresa de servicios públicos domiciliarios

Vanti Sancionada por SIC: Caso Emblemático de Violación de Datos Personales en Colombia 2025

Violación de normas de protección de datos personales: Vanti S.A. ESP Sancionada por la SIC: Un Caso Emblemático de Fallas en la Seguridad de Datos Personales

En un fallo que subraya la creciente importancia y el estricto cumplimiento del régimen de protección de datos personales en Colombia, la Superintendencia de Industria y Comercio (SIC) impuso una sanción millonaria a la empresa de servicios públicos Vanti S.A. ESP. La Resolución Número 38583 de 2025, emitida el 20 de junio, sanciona a la compañía por fallas graves en la seguridad de la información que resultaron en el tratamiento indebido de datos personales de miles de ciudadanos, incluyendo a personas que ni siquiera eran sus clientes. Este caso sirve como una advertencia contundente para todas las empresas sobre las consecuencias legales y reputacionales de no gestionar adecuadamente la información personal.

¿Qué Ocurrió?

El caso se originó en una queja presentada en julio de 2021 por un ciudadano que descubrió, al revisar los tableros de la DIAN, que Vanti estaba emitiendo facturas electrónicas a nombre de otras personas, pero utilizando su número de cédula de ciudadanía. Esta situación, según la denuncia, venía ocurriendo desde noviembre de 2020. A pesar de que el afectado alertó a Vanti en mayo de 2021, la empresa no solucionó el problema de inmediato. La facturación errónea continuó hasta agosto de 2022, lo que significa que el error persistió por casi dos años, incluso después de ser denunciado.

La investigación de la SIC determinó que el origen del problema fue técnico: Vanti había solicitado a su proveedor de software, una solución para modificar sus facturas electrónicas, específicamente para eliminar el dígito de verificación del NIT (Número de Identificación Tributaria) de las empresas, tal como lo exigen las reglas de la DIAN. Sin embargo, debido a un error en la implementación, el sistema también eliminó el último dígito de los números de cédula de ciudadanía de las personas naturales. Este fallo técnico hizo que los números de identificación quedaran incompletos y, en el sistema de la DIAN, estos números truncados se asociaran incorrectamente con otras personas, como el denunciante.

¿Por qué ocurrió?

La SIC no atribuyó la falla únicamente al proveedor de software, sino que responsabilizó directamente a Vanti por su negligencia. La empresa actuó con “confianza legítima” en su proveedor, pero no cumplió con su deber fundamental como “Responsable del Tratamiento” de datos personales. Según la Ley 1581 de 2012, Vanti tenía la obligación de:

  • Verificar y Probar: Antes de implementar la solución de Ayesa en su entorno de producción, Vanti debió realizar pruebas exhaustivas para asegurarse de que funcionaba correctamente y no generaba errores que afectaran a los datos personales.
  • Monitorear y Detectar: La empresa debía contar con sistemas de monitoreo robustos que le permitieran detectar este tipo de incidentes de forma inmediata o pronta. En este caso, Vanti no detectó el error por sí misma; se enteró gracias a la queja del ciudadano 18 meses después de que el problema comenzara.
  • Reportar el Incidente: Una vez conocido el incidente, Vanti tenía la obligación legal de reportarlo a la SIC a través del Registro Nacional de Bases de Datos (RNBD) dentro de los 15 días hábiles. La empresa no lo hizo.

En resumen, Vanti falló en sus deberes preventivos y reactivos de seguridad de la información.

Vanti Sancionada por SIC: Caso Emblemático de Violación de Datos Personales en Colombia 2025

¿Por qué ocurrió?

La SIC impuso a Vanti S.A. ESP una sanción pecuniaria total de $412.729.856 pesos colombianos (equivalente a 308 salarios mínimos legales vigentes para 2023).

Esta sanción se desglosa en dos multas iguales, cada una de $206.364.928, por dos infracciones distintas:

  • Por incumplir el deber de seguridad (Artículo 17, literal d, de la Ley 1581 de 2012): Por no conservar la información bajo condiciones de seguridad adecuadas, lo que permitió la adulteración y el uso no autorizado de los datos personales.
  • Por incumplir el deber de informar (Artículo 17, literal n, de la Ley 1581 de 2012): Por no reportar a la autoridad (la SIC) la violación de seguridad una vez que tuvo conocimiento de ella.

Además de la multa, la SIC ordenó a Vanti implementar una serie de medidas correctivas en un plazo de dos meses, que incluyen presentar evidencia técnica de la solución, reportar el incidente en el RNBD, documentar sus procedimientos de prueba y robustecer sus sistemas de monitoreo de seguridad.

¿Por qué se impuso la Sanción?

La SIC fundamentó la sanción en varios argumentos contundentes:

  • Negligencia Probada: Vanti no verificó el funcionamiento de la solución tecnológica antes de implementarla, lo que demuestra una falta de diligencia.
  • Fallo en el Monitoreo: La empresa no detectó el error por sus propios medios, lo que indica que sus sistemas de control y monitoreo eran ineficaces.
  • Falta de Reporte: El no reportar el incidente a la SIC es una infracción grave y autónoma, independiente del error inicial.
  • Impacto en los Derechos Fundamentales: El error afectó la integridad de los datos personales (al alterarlos) y puso en riesgo el derecho fundamental de habeas data de miles de personas (Vanti estimó que 36.509 de sus clientes y terceros no relacionados fueron afectados).
  • Rechazo de las Excusas: La SIC rechazó los argumentos de Vanti que intentaban transferir la culpa a sus proveedores o a la DIAN. Como Responsable del Tratamiento, la responsabilidad final recae siempre en la empresa que recopila y usa los datos.

¿Cómo Prevenir Ser Sancionado? (Lecciones para las Empresas)

El caso de Vanti ofrece lecciones valiosas para cualquier organización que maneje datos personales:

  • La Confianza No Basta, se Necesita Verificación: Nunca confíe ciegamente en sus proveedores tecnológicos. Siempre debe probar, verificar y validar cualquier cambio o solución que afecte el tratamiento de datos personales en un entorno controlado antes de su implementación definitiva.
  • Invierta en Sistemas de Detección Proactiva: Implemente herramientas y procesos de monitoreo que le permitan identificar anomalías e incidentes de seguridad de forma inmediata, no cuando un cliente se queja.
  • Conozca y Cumpla con sus Deberes Legales: El deber de reportar incidentes de seguridad a la SIC es obligatorio y tiene plazos estrictos (15 días hábiles). Tener un protocolo claro y conocido por todo el personal es esencial.
  • Adopte el Principio de "Responsabilidad Demostrada" (Accountability): No basta con tener políticas en papel. Debe poder demostrar a la autoridad que sus medidas de seguridad son efectivas, están implementadas y se revisan constantemente.
  • Capacite a su Personal: Asegúrese de que todos los empleados, especialmente los de TI y atención al cliente, entiendan la importancia de la protección de datos y sepan cómo actuar ante un posible incidente.

¿Por qué es importante conocer este Caso?

Este caso es crucial porque demuestra la Seriedad de la SIC: La Superintendencia está ejerciendo con rigor su potestad sancionatoria, imponiendo multas significativas por fallas en la seguridad de datos.

 👉 ¿Tu empresa maneja datos personales? en M&M INTEGRAL  te orientamos frente a estos temas contáctanos

 
Contáctanos

Compartir:

MÁs Blogs

SICE TAC 2025: Costos, horas logísticas y claves para el transporte de carga

Hablemos de SICE TAC

Como hemos mencionado en artículos anteriores el SICE TAC es el sistema de costos eficientes del transporte terrestre automotor de carga por carretera, que es

Suscríbete